iptables 阻止 443 端口上的流量,且不会设置连接超时

tag-icon tag-icon linux iptables connection
iptables 阻止 443 端口上的流量,且不会设置连接超时

我有一台 PC 192.168.1.10,我想阻止从局域网到它的端口 443 的流量。

现在我只使用:

iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 443 -j REJECT

问题是,如果我指向浏览器,https://192.168.1.10它需要一些时间才能进入连接超时,而不是像我期望的 -j REJECT 操作那样立即拒绝连接。

为什么?我希望得到一个通过我设置的 iptables 规则拒绝的连接,而不是一个带有延迟的连接超时。

谢谢

更新:iptables 规则:

Chain INPUT (policy DROP 1 packets, 36 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags:! 0x17/0x02 state NEW
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x29
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x3F
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x06/0x06
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x03/0x03
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x11/0x01
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x37
    0     0 ACCEPT     tcp  --  *      *       127.0.0.0/24         0.0.0.0/0
    0     0 ACCEPT     udp  --  *      *       127.0.0.0/24         0.0.0.0/0
    9   468 REJECT     tcp  --  *      *       192.168.1.0/24       0.0.0.0/0            tcp dpt:443 reject-with icmp-admin-prohibited
    0     0 REJECT     tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 reject-with icmp-port-unreachable
   70  4080 ACCEPT     tcp  --  *      *       192.168.1.0/24       0.0.0.0/0
   37  9773 ACCEPT     udp  --  *      *       192.168.1.0/24       0.0.0.0/0
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 10/sec burst 5
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    6   456 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      eth0    10.7.7.0/24          0.0.0.0/0

Chain OUTPUT (policy ACCEPT 94 packets, 14132 bytes)
 pkts bytes target     prot opt in     out     source               destination

答案1

根据进一步的交流,似乎有必要补充:

--reject-with tcp-reset

按照您的iptables ... -j REJECT规则,以便立即做出反应,而无需等待超时。

即使使用特定的基于 ICMP 的拒绝类型会更好,因为该协议是为发出连接拒绝原因的信号而定制的。

相关内容